Démarrer comme revendeur DSD

Accord de traitement de données

Version 1.0 | DSD Europe B.V. | mai 2018
 

Les Parties,

  1. Le revendeur, enregistré à la plateforme de DSD Europe en tant que Responsable du traitement, (à nommer ci-après : le « Responsable ».)

    and
     
  2. DSD Europe B.V. établie à [5246 AK] Rosmalen, Hintham 152A, valablement représenté par monsieur Thijs van de Moosdijk (à nommer ci-après : le « Sous-traitant ») ;


considérant que :
 

  1. Le Responsable dispose de données personnelles de plusieurs personnes concernées ;
  2. Le Responsable veut que le Sous-traitant réalise certaines formes de traitement ;
  3. Dans le cadre de cette convention, le terme données personnelles signifie les données personnelles au sens de l’article 4 alinéa 1 du Règlement Général sur la Protection des Donnée, (à nommer ci-après : « RGPD ») ;
  4. Le Responsable désigne les objectifs et les moyens de traitement auxquels s’appliquent les conditions y mentionnées ;
  5. Le Sous-traitant est prêt à s’y conformer et à respecter les obligations relatives à la sécurité et les autres aspects du RGPD, pour autant qu’il est légalement responsable ;
  6. Le Responsable peut être considéré comme le Responsable du traitement au sens de l’article 4 alinéa 7 du RGPD, dans ce contexte cependant, il sera nommé le « Responsable » ;
  7. Le Sous-traitant peut être considéré comme Sous-traitant au sens de l’article 4 alinéa 8 du RGPD ;
  8. Considérant, entre autres, les exigences de l’article 28 alinéa 3 du RGPD, les Parties désirent consigner par écrit leurs droits et leurs obligations dans cette Convention de traitement (à nommer ci- après : « Convention de traitement »).
     

ont convenu ce qui suit :

 

ARTICLE 1. OBJECTIF DU TRAITEMENT

1.1. Le Sous-traitant s’engage sous les conditions de la présente Convention de traitement à traiter des données personnelles pour le compte du Responsable. Le traitement n’aura lieu que dans le cadre du traitement des données de transaction aux bénéfices des commandes faites au Responsable et aux clients du Responsable, comme prévu aux conditions générales du Sous-traitant.

1.2. Le Sous-traitant ne traitera les données personnelles qu’aux fins de l’objectif fixé par le Responsable, à l’exception des objectifs statistiques et analytiques au bénéfice du Sous-traitant.

1.3. Le traitement du Sous-traitant concerne la/les catégorie(s) de données personnelles suivantes : Noms et adresses, adresses e-mail, numéros de téléphone. Il y a différentes catégories de personnes concernées : les clients des revendeurs, d’une part les clients professionnels et d’autre part les clients particuliers.

1.4. Le Sous-traitant ne décide pas lui-même du traitement des données personnelles. Le Responsable détient le contrôle des données personnelles fournies au Sous-traitant dans le cadre de la présente Convention de traitement ou d’autres conventions entre les parties, et des données traitées dans ce cadre par le Sous-traitant.

1.5. Les données personnelles à traiter pour le compte du Responsable restent la propriété du Responsable et/ou des personnes concernées.

 

ARTICLE 2.OBLIGATIONS DU SOUS-TRAITANT

2.1. Le Sous-traitant garantit le respect de la législation applicable, et surtout celle relative à la protection des données personnelles, comme le RGPD, dans la mesure où il est légalement responsable.

2.2. Le Sous-traitant informera le Responsable à sa première demande des mesures qu’il a prises dans le cadre de ses obligations liées à la présente Convention de traitement et à la législation pertinente.

2.3. Les obligations du Sous-traitant découlant de la présente Convention de traitement sont également valables pour ceux qui traitent des données personnelles sous l’auspice du Sous-traitant, notamment, mais non limitativement, les employés au sens le plus large du terme.

2.4. Le Sous-traitant permettra au Responsable de (faire) réaliser au moins une fois par an un contrôle du respect de la protection des données personnelles. Le Responsable peut en faire la demande au Sous-traitant. Le Sous-traitant organisera ces contrôles avec le Responsable. Les frais des contrôles seront à la charge du Responsable. Le Responsable remettra une copie des résultats du contrôle au Sous-traitant.

 

ARTICLE 3. TRANSFERT DE DONNÉES PERSONNELLES

3.1. Le Sous-traitant est autorisé à traiter les données personnelles dans les pays de l’Union européenne. Le transfert aux pays hors de l’Union européenne n’est autorisé qu’après l’approbation du Responsable et dans le respect de la législation applicable.

 

ARTICLE 4. RESPONSABILITÉ ET RESPONSABILITÉ CIVILE

4.1. Les traitements autorisés seront réalisés dans un environnement automatisé et sous le contrôle du Sous-traitant.

4.2. Le Sous-traitant est responsable du traitement des données personnelles objets de la présente Convention de traitement, suivant les instructions écrites du Responsable et exclusivement dans le cadre de sa responsabilité civile.

4.3. Le Responsable est responsable des traitements de données personnelles qu’il réalise soi-même, auxquels traitements le Sous-traitant n’est pas impliqué.

4.4. Le Sous-traitant est civilement responsable envers le Responsable au cas où le Sous-traitant ne respecte pas ses obligations légales ou celles en vertu de la présente convention, en raison de circonstances reprochables au Sous-traitant. La responsabilité civile du Sous-traitant envers le Responsable est restreinte, tel que réglé aux conditions générales du Sous-traitant.

 

ARTICLE 5. RECOURS À DES TIERS

5.1. Dans le cadre de la présente Convention de traitement, le Sous-traitant pourra recourir à un tiers, dans ce cas, il en informera le Responsable sans délai.

5.2. En tout cas, le Sous-traitant prendra soin que ce tiers s’engage par écrit aux mêmes obligations que celles convenues entre le Sous-traitant et le Responsable. Le Sous-traitant répond du respect de ces obligations par ces tiers, et est lui-même civilement responsable des dommages découlant des fautes de tiers, comme s’il les avait fait lui-même, sauf en cas de dol ou d’imprudence volontaire du tiers.

 

ARTICLE 6. OBLIGATION DE NOTIFICATION ET FUITE DE DONNÉES

6.1. En cas de fuite de données (ou de violation des données personnelles), liée aux données personnelles du Responsable traitées par le Sous-traitant, celui-ci en informera le Responsable dans les 24 heures après la découverte. Sur base de ces informations, le Responsable décidera s’il informera ou non la/les personne(s) concerné(es) et/ou le/les contrôleur(s) pertinent(s). Le Sous-traitant garantit que les informations données sont complètes, correctes et précises. L’obligation de notification du Sous-traitant envers le Responsable est valable quelles que soient les conséquences de la fuite.

6.2. Le Responsable est en tout temps responsable de sa décision de notifier les faits ou non, si oui, il en fera son affaire personnelle. Seulement s’il est requis par la loi, le Sous-traitant coopéra à l’information des autorités pertinentes et/ou des personnes concernées et aux autres obligations découlant du RGPD.

6.3. L’obligation de notification au responsable implique en tout cas la notification du fait qu’il y a eu une fuite, ainsi que :

  1. la cause (présumée) de la fuite ;
  2. les conséquences (connues pour le moment et/ou à attendre ;
  3. la solution (proposée) ;
  4. les droits de la personne concernée ;
  5. les données de contact pour le suivi de la notification ;
  6. les mesures déjà prises.

 

ARTICLE 7. MESURES DE SÉCURITÉ

7.1. Le Sous-traitant garantit que les mesures de sécurité qu’il prend sont adéquates en toutes circonstances raisonnablement prévisibles, vu le type de données et les risques y liées. Le Sous-traitant garantit qu’il prendra dans sa propre organisation les mesures techniques et organisationnelles suffisantes relatives au traitement des données personnelles à réaliser, contre la perte ou toute forme de traitement illégal (notamment la consultation, la violation, la modification ou la transmission non autorisées des données personnelles).

7.2. Le Sous-traitant a au moins pris les mesures suivantes :

  1. contrôle d’accès logique, en utilisant des mots de passe ;
  2. mesures physiques pour sécuriser l’accès ;
  3. chiffrement (conversion à un format codé) de fichiers informatiques contenant des données personnelles stockées aux sauvegardes et aux postes de travail ;
  4. mesures organisationnelles pour la sécurisation de l’accès ;
  5. sécurisation des réseaux en utilisant la technologie Secure Socket Layer (SSL) ;
  6. restrictions de l’accès fondées sur les fonctions ;
  7. contrôle des pouvoirs attribués ;
  8. patch management ;
  9. protection anti-virus multicouche ;
  10. next generation firewall pouvant activer une sécurisation avancée (par exemple SSL inspection).

 

ARTICLE 8. DEMANDES DES PERSONNES CONCERNÉES

8.1. Au cas où une personne concernée fait une demande au Sous-traitant afin de consulter, corriger, complémenter, modifier ou verrouiller ses données, le Sous-traitant transmettra cette demande sans délai au Responsable, sans répondre à la demande ni contacter la personne concernée lui-même.

8.2. Au cas où une personne concernée fait une demande au Responsable, telle que mentionnée à l’alinéa précédente, le Sous-traitant est tenu de prêter son concours, si le Responsable le désire, pour autant que nécessaire et dans les limites du raisonnable./p>

 

ARTICLE 9. DEVOIR DE DISCRÉTION ET CONFIDENTIALITÉ

9.1. Toutes les données personnelles que le Responsable a transmises au Sous-traitant, et vice versa, et/ou qu’il collecte lui-même dans le cadre de la présente Convention de traitement, sont soumises au devoir de discrétion envers les tiers.

9.2. Ce devoir de discrétion n’est pas applicable dans la mesure où le Responsable a autorisé expressément la transmission des informations aux tiers, si cette transmission aux tiers est logiquement nécessaire en tenant compte de la nature de la mission et de l’exécution de la présente Convention de traitement, ou s’il existe une obligation légale de transmettre ces informations à un tiers.

 

ARTICLE 10. DURÉE ET EXPIRATION

10.1. La présente Convention de traitement a été conclue pour la durée mentionnée dans la Convention individuelle entre les parties, et à défaut d’une telle convention, pour la durée de la coopération.

10.2. Après approbation mutuelle et écrite des parties, la Convention de traitement peut être résiliée avant son terme.

10.3. À l’expiration de la coopération, le Responsable peut décider de faire détruire par le Sous-traitant toutes les données personnelles traitées au nom du Responsable, ou de faire retourner ces données au Responsable. Dans les deux cas, et sauf obligation légale contraire, le Sous-traitant ne disposera plus des données personnelles fournis par Responsable dans les plus brefs délais.

10.4. Les Parties ne peuvent modifier la présente Convention de traitement que par consentement mutuel.

10.5. Les Parties apporteront leur plein concours à l’adaptation de la présente Convention de traitement à une éventuelle législation nouvelle relative à la protection de la vie privée ou aux modifications de la législation existante relative à la protection de la vie privée.

 

ARTICLE 11. DROIT APPLICABLE ET RÈGLEMENT DES LITIGES

11.1. La Convention de traitement et son exécution sont soumises au droit néerlandais.

11.2. Les litiges éventuels entre les parties relatifs à la présente Convention de traitement, seront soumis au juge compétent de l’arrondissement judiciaire dans lequel est établi le Responsable.

Votre propre plateforme numérique.

Commencez maintenant!
FR
DSD Europe